Segurança PHP em 2016
4 gostaram838 visualizações
A evolução da segurança PHP em 2016 se resume a: - Melhorias nos algoritmos de hashing de senhas; - Nova função de números aleatórios e geração de bytes aleatórios; - Suporte a criptografia simétrica com libsodium e OpenSSL; - Uso obrigatório do PDO para acesso a bancos de dados.
![Hashing (Senhas)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 8 / 37
www.galvao.eti.br
<?php
$hash = password_hash('my_password',
PASSWORD_BCRYPT,
['cost' => 10,
'salt' => 'this_is_my_salt_is_my_salt']
);
Segurança PHP em 2016](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-8-320.jpg)
![Hashing (Senhas)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 9 / 37
www.galvao.eti.br
<?php
$hash = password_hash('my_password',
PASSWORD_BCRYPT,
['cost' => 10,
'salt' => 'this_is_my_salt_is_my_salt']
);
if (password_verify('my_password', $hash)) {
// YAY!
}
Segurança PHP em 2016](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-9-320.jpg)
![Hashing (Senhas)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 10 / 37
www.galvao.eti.br
<?php
$pass = 'my_password';
$options = ['cost' => 10];
$hash = password_hash($pass,
PASSWORD_DEFAULT,
$options
);
if (password_verify($pass, $hash)) {
if (password_needs_rehash($hash,
PASSWORD_DEFAULT,
$options)) {
$newHash = password_hash($pass,
PASSWORD_DEFAULT,
$options);
}
}
Segurança PHP em 2016](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-10-320.jpg)
![Hashing (Senhas)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 11 / 37
www.galvao.eti.br
<?php
$pass = 'my_password';
$options = ['cost' => 10];
$hash = password_hash($pass,
PASSWORD_DEFAULT,
$options
);
if (password_verify($pass, $hash)) {
if (password_needs_rehash($hash,
PASSWORD_DEFAULT,
$options)) {
$newHash = password_hash($pass,
PASSWORD_DEFAULT,
$options);
}
}
Segurança PHP em 2016](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-11-320.jpg)
![Hashing (Senhas)
CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 12 / 37
www.galvao.eti.br
<?php
$pass = 'my_password';
$options = ['cost' => 10];
$hash = password_hash($pass,
PASSWORD_DEFAULT,
$options
);
if (password_verify($pass, $hash)) {
if (password_needs_rehash($hash,
PASSWORD_DEFAULT,
$options)) {
$newHash = password_hash($pass,
PASSWORD_DEFAULT,
$options);
}
}
Segurança PHP em 2016](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-12-320.jpg)
![CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 27 / 37
www.galvao.eti.brSegurança PHP em 2016
Banco de Dados
$dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1';
$user = 'usuario_do_banco';
$password = 'senha_do_banco';
$value = 'ABC'
try {
$dbh = new PDO($dsn, $user, $password);
} catch (PDOException $e) {
echo 'Conexão falhou: ' . $e->getMessage();
}
$sql = 'SELECT * FROM produto WHERE nome=:clause';
$sth = $dbh->prepare($sql);
$sth->bindParam(':clause', $value, PDO::PARAM_STR);
$sth->execute();
$red = $sth->fetchAll();
var_dump($red[0]['nome']);
$dbh = NULL;](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-27-320.jpg)
![CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 28 / 37
www.galvao.eti.brSegurança PHP em 2016
Banco de Dados
$dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1';
$user = 'usuario_do_banco';
$password = 'senha_do_banco';
$value = 'ABC'
try {
$dbh = new PDO($dsn, $user, $password);
} catch (PDOException $e) {
echo 'Conexão falhou: ' . $e->getMessage();
}
$sql = 'SELECT * FROM produto WHERE nome=:clause';
$sth = $dbh->prepare($sql);
$sth->bindParam(':clause', $value, PDO::PARAM_STR);
$sth->execute();
$red = $sth->fetchAll();
var_dump($red[0]['nome']);
$dbh = NULL;](https://image.slidesharecdn.com/seguranaphpem2016-160504212219/85/Seguranca-PHP-em-2016-28-320.jpg)
Segurança PHP em 2016
- 1. Segurança em 2016 Segurança PHP em 2016 www.galvao.eti.br CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 1 / 37
- 2. Presidente da ABRAPHP – Associação Brasileira de Profissionais PHP Diretor da PHP Conference Brasil Contribui para a tradução da documentação oficial Atua como Zend Framework Evangelist para o ZTeam, da Zend. Professor Especialista de Pós-Graduação UNOESC (SC) e Faculdade Alfa (PR) 20+ anos desenvolvendo sistemas e aplicações com interface web 15+ destes com PHP 7+ com Zend Framework Palestrante em eventos nacionais e internacionais Instrutor de cursos presenciais e a distância Fundador e líder do GU PHPBR Fundador* e membro do GU PHPRS Site: http://www.galvao.eti.br/ http://people.php.net/galvao Twitter: @galvao Slides e Documentos: http://slideshare.net/ergalvao Github: http://github.com/galvao Posts: https://medium.com/@galvao Quem?! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 2 / 37 www.galvao.eti.brSegurança PHP em 2016
- 3. Sumário CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 3 / 37 www.galvao.eti.br O status da Segurança PHP em 2016 ● Hashing ● PRNG ● Criptografia ● Banco de Dados ● Tipagem Segurança PHP em 2016
- 4. Sumário CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 4 / 37 www.galvao.eti.brSegurança PHP em 2016 Tudo se resume a evolução
- 5. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 5 / 37 www.galvao.eti.brSegurança PHP em 2016 md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt');
- 6. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 6 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
- 7. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 7 / 37 www.galvao.eti.br md5('my_password'); sha1('my_password'); crypt('my_password', 'my_salt'); Segurança PHP em 2016
- 8. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 8 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); Segurança PHP em 2016
- 9. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 9 / 37 www.galvao.eti.br <?php $hash = password_hash('my_password', PASSWORD_BCRYPT, ['cost' => 10, 'salt' => 'this_is_my_salt_is_my_salt'] ); if (password_verify('my_password', $hash)) { // YAY! } Segurança PHP em 2016
- 10. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 10 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
- 11. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 11 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
- 12. Hashing (Senhas) CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 12 / 37 www.galvao.eti.br <?php $pass = 'my_password'; $options = ['cost' => 10]; $hash = password_hash($pass, PASSWORD_DEFAULT, $options ); if (password_verify($pass, $hash)) { if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { $newHash = password_hash($pass, PASSWORD_DEFAULT, $options); } } Segurança PHP em 2016
- 13. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 13 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
- 14. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 14 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
- 15. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 15 / 37 www.galvao.eti.br rand($min, $max); mt_rand($min, $max); // Implementação qualquer de randomização // de strings, tipo essa Segurança PHP em 2016
- 16. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 16 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10);
- 17. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 17 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22);
- 18. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 18 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php $randomInt = random_int(0, 10); $randomStr = random_bytes(22); echo $randomInt . PHP_EOL; echo base64_encode($randomStr);
- 19. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 19 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
- 20. PRNG CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 20 / 37 www.galvao.eti.brSegurança PHP em 2016 <?php try { $randomInt = random_int(0, 10); echo $randomInt . PHP_EOL; } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); } try { $randomStr = random_bytes(22); echo base64_encode($randomStr); } catch (Exception $e) { die('Lib de randomização não encontrada: ' . $e->getMessage()); }
- 21. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 21 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
- 22. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 22 / 37 www.galvao.eti.br mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $str, MCRYPT_MODE_CBC, $iv ); mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, $crypt, MCRYPT_MODE_CBC, $iv ); Segurança PHP em 2016 Criptografia
- 23. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 23 / 37 www.galvao.eti.br $key = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_KEYBYTES); $nonce = Sodiumrandombytes_buf(SodiumCRYPTO_SECRETBOX_NONCEBYTES); $ciphertext = Sodiumcrypto_secretbox('test', $nonce, $key); Segurança PHP em 2016 Criptografia $plaintext = Sodiumcrypto_secretbox_open($ciphertext, $nonce, $key);
- 24. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 24 / 37 www.galvao.eti.br $crypt = openssl_encrypt('teste', 'blowfish', 'foo', 0, '11122233'); Segurança PHP em 2016 Criptografia $plaintext = openssl_decrypt($crypt, 'blowfish', 'foo', 0, '11122233');
- 25. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 25 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
- 26. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 26 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados mysql_*(); Queries com valores diretos; Entre outras coisas...
- 27. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 27 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
- 28. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 28 / 37 www.galvao.eti.brSegurança PHP em 2016 Banco de Dados $dsn = 'mysql:dbname=nome_do_banco;host=127.0.0.1'; $user = 'usuario_do_banco'; $password = 'senha_do_banco'; $value = 'ABC' try { $dbh = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Conexão falhou: ' . $e->getMessage(); } $sql = 'SELECT * FROM produto WHERE nome=:clause'; $sth = $dbh->prepare($sql); $sth->bindParam(':clause', $value, PDO::PARAM_STR); $sth->execute(); $red = $sth->fetchAll(); var_dump($red[0]['nome']); $dbh = NULL;
- 29. Tipagem CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 29 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016
- 30. Tipagem CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 30 / 37 www.galvao.eti.br <?php declare(strict_types=1); function foo(int $x, int $y) { return $x + $y; } echo foo('1', 2); Segurança PHP em 2016 Fatal error: Uncaught TypeError: Argument 1 passed to foo() must be of the type integer, string given, called in /home/vagrant/php7tests/t1.php on line 9 and defined in /home/vagrant/php7tests/t1.php:4 Stack trace: ...
- 31. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 31 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Nem tudo muda… … ou o que eu quero dizer com “outras coisas”
- 32. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 32 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Imagem by nixCraft
- 33. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 33 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma:
- 34. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 34 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Segurança deixa a aplicação lenta? Segurança é difícil de aprender? Segurança é difícil de implementar? A resposta continua sendo a mesma: NÃO IMPORTA!
- 35. CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 35 / 37 www.galvao.eti.brSegurança PHP em 2016 Constantes Notegraphy, Galvão
- 36. INFORME-SE! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 36 / 37 www.galvao.eti.brSegurança PHP em 2016 Acompanhe as mudanças da linguagem https://wiki.php.net/rfc Usando libsodium com PHP https://paragonie.com/book/pecl-libsodium Pesquise e ESTUDE! https://www.owasp.org/ RTFM!!! http://php.net/manual/en
- 37. Muito obrigado! CC Attribution-ShareAlike 3.0 Unported License by Er Galvão Abbott - 5/4/16 - 37 / 37 www.galvao.eti.br ? Dúvidas? ↓ Críticas? ↑ Elogios?! Segurança PHP em 2016